Incident de securitate OpenAI: breșa Mixpanel expune date ale utilizatorilor de OpenAI API

Compania spune că datele API și credențialele nu au fost expuse, dar avertizează utilizatorii să fie atenți la tentative de phishing.

Breșă la un furnizor terț expune metadate limitate ale conturilor API

OpenAI își avertizează clienții cu privire la un incident de securitate care implică Mixpanel, un furnizor extern de analiză folosit anterior în interfața web a platformei sale API. Compania precizează că intruziunea a avut loc exclusiv în infrastructura Mixpanel și a afectat o parte din datele analitice asociate conturilor API. OpenAI subliniază că propriile sisteme sunt intacte: „Acesta nu a fost un incident care a afectat sistemele OpenAI. Nici conversațiile, cererile API, datele de utilizare API, parolele, credențialele, cheile API, detaliile de plată sau actele de identitate nu au fost compromise sau expuse.”

Mixpanel a descoperit accesul neautorizat pe 9 noiembrie 2025, iar investigațiile ulterioare au confirmat că atacatorul a extras un set de date ce conținea metadate identificabile. Furnizorul a transmis setul de date afectat către OpenAI pe 25 noiembrie, permițând o analiză detaliată a informațiilor expuse.

Ce tip de date au fost afectate

Informațiile compromise includeau în principal detalii de profil și elemente analitice asociate autentificării pe platform.openai.com. Potrivit OpenAI, în datele exportate s-ar fi putut regăsi:

• Numele conturilor
• Adresele de email
• Locația aproximativă derivată din datele browserului
• Detalii despre dispozitiv
• Site-urile de referință
• Identificatori de utilizator sau organizație

Compania a precizat că nu au fost afectate date sensibile de autentificare sau conținut asociat API-urilor.

Deși incidentul a fost limitat la Mixpanel, metadatele expuse ar putea fi folosite în atacuri de phishing direcționat sau tentative de impersonare. OpenAI a avertizat din nou în notificare că atacatorii pot crea mesaje credibile folosind adresele de email sau ID-urile expuse.

OpenAI renunță la Mixpanel și extinde verificările de securitate pentru furnizori

După incident, OpenAI a eliminat Mixpanel din toate mediile de producție și a început notificarea organizațiilor și administratorilor afectați. Compania afirmă că monitorizează în continuare situația și că „nu există dovezi că ar exista un impact asupra sistemelor sau datelor din afara mediului Mixpanel.”

Ca răspuns la breșă, OpenAI a încheiat colaborarea cu Mixpanel și a demarat evaluări de securitate mult mai ample pentru toți furnizorii săi. Compania spune că ridică standardele de securitate impuse partenerilor și își reafirmă angajamentul pentru transparență și protecția utilizatorilor.

Utilizatorii sunt îndemnați să își întărească securitatea conturilor

OpenAI îi sfătuiește pe utilizatorii de API să rămână vigilenți, întrucât metadatele expuse pot alimenta atacuri de tip social engineering. Compania recomandă tratarea cu suspiciune a mesajelor neașteptate, verificarea originii comunicărilor pentru a se asigura că provin de pe domenii oficiale OpenAI, evitarea partajării parolelor sau a cheilor API și activarea autentificării cu mai mulți factori (MFA).

Pentru a reduce și mai mult riscul de impersonare și pentru a proteja datele personale, utilizatorii pot apela la soluții dedicate.

Bitdefender Digital Identity Protection monitorizează dacă datele personale apar în breșe sau pe piețe online malițioase și te avertizează în timp real. Pentru mesaje dubioase sau potențiale tentative de phishing, Bitdefender Scamio permite verificarea rapidă a emailurilor, linkurilor, capturilor de ecran sau conversațiilor pentru semne de fraudă înainte de a interacționa cu ele. Ambele instrumente oferă un nivel suplimentar de siguranță într-o perioadă în care atacatorii exploatează chiar și metadate minime.